對(duì)于有多臺(tái)PaloAlto防火墻需要統(tǒng)一管理的企業(yè)來(lái)說(shuō)，Panorama是個(gè)不錯(cuò)的選擇，利用Panorama可以做到中心化和統(tǒng)一管理的目的。這里簡(jiǎn)單給大家demo一下如何對(duì)現(xiàn)有的PaloAlto HA高可用防火墻遷移到Panorama上。

創(chuàng)新互聯(lián)公司主營(yíng)淮安區(qū)網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,成都app軟件開(kāi)發(fā),淮安區(qū)h5重慶小程序開(kāi)發(fā)公司搭建,淮安區(qū)網(wǎng)站營(yíng)銷(xiāo)推廣歡迎淮安區(qū)等地區(qū)企業(yè)咨詢(xún)

環(huán)境介紹：

• Panorama:192.168.55.5

• PA-PRIMARY:192.168.55.10

• PA-SECONDARY:192.168.55.11

這里demo的HA模式是Active/Standby模式，如下圖所示：

Step1（第一步）：分別在兩臺(tái)HA的防火墻上禁用配置同步Disable Config Sync

在主防火墻（PA-PRIMARY）上切換到“Device（設(shè)備）”選項(xiàng)卡，然后在左邊的菜單欄里選擇“High Availability（高可用性）”，默認(rèn)情況“Enable Config Sync（啟用配置同步）”是勾選的。如下圖所示：

在“Setup（設(shè)置）”界面，單擊右上角的齒輪圖標(biāo)，在彈出的對(duì)話框中取消“Enable Config Sync（啟用配置同步）”前面的√，如下圖所示：

接著，對(duì)剛剛所做的更改進(jìn)行提交以便保存配置：

在第二臺(tái)備用防火墻(PA-SECONDARY)上進(jìn)行同樣的操作：

Step2(第二步)：分別在兩臺(tái)防火墻上指定Panorama的管理地址：

在主防火墻（PA-PRIMARY）上切換到“Device（設(shè)備）”選項(xiàng)卡，選擇左邊菜單的“Setup（設(shè)置）”然后單擊“Management（管理）”選項(xiàng)卡，最后點(diǎn)擊“Panorama Settings（Panorama設(shè)置）”右上角的齒輪設(shè)置按鈕：

在彈出的“Panorama Settings（Panorama設(shè)置）”對(duì)話框中，輸入Panorama的管理地址。這里值得注意的是“Disable Panorama Policy and Objects”和“Disable Device and Template”兩個(gè)選項(xiàng)按鈕，disable表示已經(jīng)啟用，也就是意味著接受來(lái)自于Panorama的這些設(shè)置：

提交變更，保存配置：

在備用防火墻上進(jìn)行上面的同樣操作并提交：

Step3（第三步）：在Panorama上添加被管理的兩臺(tái)防火墻設(shè)備

分別復(fù)制兩臺(tái)防火墻的SN號(hào)，以便在Panorama上進(jìn)行添加：

在Panorama設(shè)備上，切換到“Panorama”選項(xiàng)卡，按照下面的順序進(jìn)行操作粘貼剛剛上面復(fù)制的防火墻SN號(hào)：

同樣的操作添加第二臺(tái)備用防火墻：

對(duì)剛剛的操作進(jìn)行提交保存：

如果操作正確的話，提交變更保存配置后就能看到下面的狀態(tài)：注意底部的“Group HA Peers”處于勾選狀態(tài)，才能顯示“HA Status”

Step4:（第四步）：從兩臺(tái)HA高可用防火墻上導(dǎo)入配置到Panorama

在Panorama設(shè)備上按照下面數(shù)值編號(hào)單擊鼠標(biāo)左鍵：

選擇要導(dǎo)入配置的設(shè)備，并且根據(jù)需要對(duì)設(shè)備和模板名字進(jìn)行更改：值得留意的是，記得保持其他默認(rèn)勾選的選項(xiàng)。

同樣的操作導(dǎo)入另外一臺(tái)防火墻配置：這里需要留意的是模板和設(shè)備名稱(chēng)先不需要和導(dǎo)入第一臺(tái)防火墻設(shè)備的保持一致，下面會(huì)講解到這個(gè)！

成功導(dǎo)入兩臺(tái)防火墻的配置后，在“Template（模板）”下，就能看到模板相關(guān)信息：

我們這里由于不需要兩個(gè)模板（Template）和兩個(gè)設(shè)備組（Device Group）所以下面我們刪除第二個(gè)模板：

接著進(jìn)入到第一個(gè)Template（模板），勾選第二臺(tái)防火墻，然后單擊“Ok”以便把第二臺(tái)防火墻移動(dòng)到同一個(gè)Template（模板）：

同理在“Device Group（設(shè)備組）”下進(jìn)行同樣的操作：

提交變更，保存配置：

Step5（第五步）：導(dǎo)出配置應(yīng)用到防火墻設(shè)備

做到這里，我們?cè)凇癕anaged Devices（受管理設(shè)備）”看到“Share Policy（共享策略）”和“Template（模板）”都是處于“Out of sync（非同步）”狀態(tài)：

按照下面圖片序號(hào)依次單擊鼠標(biāo)左鍵：

在彈出的對(duì)話框中，我們選擇把配置應(yīng)用到第二臺(tái)備用防火墻（PA-SECONDARY）,這樣做的目的是避免生產(chǎn)環(huán)境中的主防火墻受到影響：

單擊“Ok”

接著，在彈出的對(duì)話框中單擊“Push & Commit（推送并提交）”以便把配置文件推到備用防火墻設(shè)備上：

在“Commit（提交）”下來(lái)框下選擇“Push to Devices”

接著在彈出的對(duì)話框中選擇第一行，Localtion Type為“Device Group（設(shè)備組）”的“PA-PRIMARY”,然后選擇“Edit Selecions（編輯選擇）”：

最后再?gòu)棾龅膶?duì)話框中，取消“PA-PRIMARY”前面的√，最后再單擊“Ok”以確認(rèn)只把配置推到備用防火墻：

同樣選擇Localtion Type為“Template（模板）”下的防火墻設(shè)備，確認(rèn)只勾選了“PA-SECONDARY”第二臺(tái)備用防火墻設(shè)備：

如果操作正確的話，將會(huì)看到“Share Policy（共享策略）”和“Template（模板）”的狀態(tài)發(fā)送了變化：

回到活動(dòng)防火墻PA-PRIMARY,暫時(shí)先對(duì)其“Suspend（掛起）”操作，以便把備用防火墻切換成主防火墻：

切換到“Dashboad”選項(xiàng)卡，以確保主防火墻已經(jīng)掛起，備用發(fā)貨去已變成Active（活動(dòng)）狀態(tài)：

按照下面的數(shù)值編號(hào)依次單擊鼠標(biāo)左鍵：

接著按照下面的數(shù)字編號(hào)依次單擊鼠標(biāo)左鍵，以便把配置推到處于掛起狀態(tài)的防火墻（PA-PRIMARY）

等待同步成功后就會(huì)看到如下圖片的狀態(tài)：

按照下面數(shù)字順序依次單擊鼠標(biāo)左鍵，以便把掛起的防火墻恢復(fù)到運(yùn)行狀態(tài)：

此時(shí)可以看到防火墻已經(jīng)恢復(fù)到運(yùn)行狀態(tài)，但是處于“Standby（備用狀態(tài)）”：

如果想恢復(fù)PA-PRIMARY防火墻到Active（活動(dòng)）狀態(tài)的話可以把PA-SECONDARY掛起，等PA-PRIMARY變成Active后再恢復(fù)PA-SECONDARY即可調(diào)換角色！

好了，到此就把HA的兩臺(tái)防火墻順利加入到Panorama，過(guò)程雖然繁瑣，但是只要按部就班，相信大家都能學(xué)會(huì)！